Vor kurzem wurde mir in einem Beratungsgespr\u00e4ch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine gepr\u00fcfte Anwendung absolut sicher ist. Die Frage ist nat\u00fcrlich aus der Sicht eines Kunden verst\u00e4ndlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro f\u00fcr eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle m\u00f6glichen Schwachstellen identifiziert wurden und eine gepr\u00fcfte Anwendung 100% sicher ist. Die unbequeme Wahrheit ist leider, dass das nicht der Fall sein kann.<\/p>\n
Grunds\u00e4tzlich gilt, dass nahezu alle durchgef\u00fchrten Penetrationstests ein Kompromiss aus Testaufwand und Aussagekraft sind. Bei professionellen Pentest-Dienstleistern beinhaltet\u00a0ein Test mindestens,<\/p>\n
Sind\u00a0die genannten Kriterien bei einem Test erf\u00fcllt, werden mit ziemlicher Sicherheit:<\/p>\n
Das ehrliche Zugest\u00e4ndnis, dass unter Umst\u00e4nden ein Angreifer mit einem deutlich h\u00f6heren Aufwand dennoch eine Schwachstelle finden k\u00f6nnte, ist leider nicht verkaufsf\u00f6rdernd.<\/p>\n
Ein h\u00f6heres\u00a0Pr\u00fcfungsniveau, wie z.B. die Entwicklung\u00a0oder gar den Aufkauf von Zero Day Exploits ist in den allermeisten F\u00e4llen leider nicht realistisch. Die Durchf\u00fchrung eines APTs (advanced persistent threat) auf NSA & Co Niveau ist sehr, sehr\u00a0aufwendig und w\u00fcrde die Kosten eines Penetrationstests in extreme H\u00f6he treiben. F\u00fcr einen Kunden w\u00e4re das ein enorm schlechtes Preis-\/Leistungsverh\u00e4ltnis und die finanziellen Ressourcen lie\u00dfen sich mit Sicherheit sinnvoller in die eigene Sicherheit investieren.<\/p>\n
Aber nehmen wir einmal ein, als Pentest-Dienstleister w\u00fcrde man eine 100%-Sicherheitsgarantie geben: Was w\u00fcrde passieren, wenn ein System dennoch kompromittiert werden w\u00fcrde? Wie soll nachgewiesen werden, dass der Penetrationstester etwas \u00fcbersehen hat? Wie soll nachgewiesen werden, dass der Kunde das System seitdem nicht ver\u00e4ndert\u00a0hat? Wie soll nachgewiesen werden, dass der Kunde eventuell nicht ein Sicherheitsupdate \u00fcbersehen hat? Wie wird mit dem Problem von Sicherheitsl\u00fccken in eingesetzten\u00a0Frameworks oder Bibliotheken umgegangen? Ein einziger Penetrationstest mit einer 100%-Sicherheitsgarantie und man hat als Dienstleister f\u00fcr alle Ewigkeiten unkalkulierbare Rechtsrisiken. Selbst wenn man das Risiko grob absch\u00e4tzt und im Durchschnitt auf alle Kunden umlegt, w\u00fcrde es die Kosten eines Penetrationstests unverh\u00e4ltnism\u00e4\u00dfig in die H\u00f6he treiben. Kein Kunde w\u00fcrde das bezahlen wollen. \u00a0Eine\u00a0100%-Sicherheitsgarantie ist leider unrealistisch.<\/p>\n
Nichtsdestotrotz werden in den meisten Penetrationstests Sicherheitsl\u00fccken oder -schwachstellen identifiziert, die das Sicherheitsniveau transparenter machen und Potential zur Verbesserung aufzeigen. In der Praxis sind Pentestberichte mit exakt 0 Findings sehr selten und deuten auf ein extrem hohes Sicherheitsniveau hin. Letztendlich ist f\u00fcr den Kunden wichtig, die genannten Grenzen, aber auch die aufgezeigten Vorteile eines Penetrationsteste zu kennen um die f\u00fcr ihn\u00a0richtige Entscheidung treffen zu k\u00f6nnen: Pentest ja oder nein?<\/p>\n","protected":false},"excerpt":{"rendered":"
Vor kurzem wurde mir in einem Beratungsgespr\u00e4ch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine gepr\u00fcfte Anwendung absolut sicher ist. Die Frage ist nat\u00fcrlich aus der Sicht eines Kunden verst\u00e4ndlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro f\u00fcr eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle m\u00f6glichen Schwachstellen identifiziert … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[70,25,71,69],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1737","6":"format-standard","7":"category-pentest","8":"post_tag-ceh","9":"post_tag-cissp","10":"post_tag-osce","11":"post_tag-oscp"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1737"}],"version-history":[{"count":38,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1737\/revisions"}],"predecessor-version":[{"id":1777,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1737\/revisions\/1777"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}